Юрисдикциялар боюнча маалыматтарды локалдаштыруу

1) Максаты жана аймагы

Бардык максаттуу юрисдикцияларда продукциянын жеткиликтүүлүгүн, коопсуздугун жана өндүрүмдүүлүгүн сактоо менен маалыматтардын локализациясынын/резиденттүүлүгүнүн талаптарына шайкештигин камсыз кылуу. Камтуусу: продукт (веб/мобил), KYC/AML/RG, төлөмдөр (PCI), маркетинг/CRM, аналитика/логика, backup/DR, оюн провайдерлери/агрегаторлор, аффилиаттар, булут сатуучулар.

2) Негизги түшүнүктөр

Маалыматтардын резиденттүүлүгү (Data Residency): маалыматтар физикалык жактан сакталган жерде.
Маалыматтардын эгемендүүлүгү (Data Sovereignty): мамлекеттин өз аймагында жайгашкан же анын субъектилерине тиешелүү маалыматтарды жөнгө салуу укугу.
Трансчегаралык берүү: кирүү, репликация же "үй" юрисдикциясынан тышкары иштетүү.
Жеке маалыматтар (PII )/сезгич PII: KYC-документтер, төлөм реквизиттери, RG/SE-статустар, биометрия.
Агрегаттар/псевдонимизациялоо/анонимизациялоо: аналитика жана алмашуу учурунда тобокелдикти минималдаштыруу техникасы.

3) Принциптер

1. Local-first: жеке маалыматтар сакталат жана эрежелер талап кылса, оюнчу "үй" аймагында иштетилет.
2. минималдаштыруу жана обочолонуу: гана зарыл сактоо, так сегрегация Тенант/региондор.
3. Мыйзамдуу берүү: колдонуудагы укуктук механизм жана тобокелдиктерди баалоо менен гана.
4. Криптографиялык камсыздоо: on rest/in transit шифрлөө, аймак тарабындагы ачкычтарды башкаруу ("bring/hold your own key" мүмкүн болушунча).
5. Далилденүү: маалымат карталары, DPIA/TRA, кирүү логдору жана сактоо ордун ырастоо.
6. Fail-safe: backaps жана DR согуштук маалыматтар менен бирдей резиденттик эрежелерге жооп берет.

4) Ролдору жана RACI

Compliance/DPO башчысы - саясат, DPIA, укуктук механизмдер, аудит. (A)

Security/Infra Lead - аймактардын архитектурасы, ачкычтар/шифрлөө, кирүү көзөмөлү. (R)

Data Platform/Analytics - анонимдөө/псевдонимизациялоо моделдери, конвейерлер. (R)

Engineering/SRE - аймактарды жайгаштыруу, репликация, DR/BCP. (R)

Legal - чек ара келишимдери, сатуучулар менен келишимдер, DPA/SA. (C)

Procurement/Vendor Mgmt - жөнөтүүчүлөр баа берүү, маалымат борборлорунун жайгашкан. (R)

Internal Audit - үлгүлөрү, артефакттарды көзөмөлдөө, CAPA. (C)

Product/CRM/BI - фич/кампаниялар/отчеттордо чектөөлөрдү сактоо. (R)

5) Маалыматтарды классификациялоо жана картография

Категориялары:

KUS/Жашы: документтер, селфи, биометрия, текшерүүлөрдүн натыйжалары.
Төлөмдөр/PCI: PAN/токендер, 3DS/AR, PSP идентификаторлор.
Оюн ишмердүүлүгү: сессиялар, коюмдар, утуштар/жоготуулар, RG/SE/RC-окуялар.
Маркетинг/CRM: байланыш, артыкчылык, suppression-желектер.
Логи/телеметрия: тиркемелер окуялар, каталар, жолдор.
Аналитика/репортаждар: агрегаттар, кубдор, ML-чиптер.

Картография (Data Map):

Булак → системасы → сактоо аймагы → укуктук абалы → керектөөчүлөр → сактоо мөөнөтү → алып салуу механизми.
Ким/кайда жана кандай формада репликаланат (RAW/PII-free/анонимдүү), анын ичинде визуалдык агым картасы милдеттүү.

6) Архитектуралык локализация үлгүлөрү

Аймактык Tenancy: өзүнчө кластерлер (EU, UK, TR, BR, CA, AU ж.б.) БД/сырларды/ачкычтарды изоляциялоо менен.
Аймак/рынок боюнча Data Sharding: префикс 'tenant _ region' ачкычтарында, Geo-Router/API Gateway аркылуу суроо-талаптарды роутинг.
Control Plane vs Data Plane: PII жок глобалдык башкаруу панели; PII - аймактык data-плейндерде гана.
PII жок Edge кэш: коомдук/жеке эмес мазмунду гана кэш.
De-PII Pipeline аркылуу талдоо: DWH гана агрегаттар/псевдоним экспорттоо; "таза" PII - аймактан тышкары тыюу салынат.
аймактын ичинде DR: "ысык" реплика ошол эле өлкөдө/аймактык блок (же ушундай эле коргоо жана кар менен бекитилген кросс-аймак. негиз).
BYOK/HYOK: региондун/кардардын көзөмөлүндө шифрлөө ачкычтары; аудит аркылуу KMS.

7) Чек ара өткөрмөлөрү: укуктук механизмдер (каркас)

Келишимдик:

Стандарттык келишимдик жоболор/жергиликтүү аналогдор (SCC/IDTA/кошумча. макулдашуулар).
Үчүнчү өлкөлөргө өткөрүп берүү жөнүндө кошумча макулдашуулар (DPA, SSA, Schrems-шайкеш тобокелдиктерди баалоо).
Тобокелдиктерди баалоо: TIA/TRAs (Transfer/Third-Country Risk Assessments).
Техникалык чаралар: шифрлөө, ролдорду бөлүштүрүү, токенизация, минималдаштыруу.
Оргмерлер: кирүү саясаты "need-to-know", журналдаштыруу, окутуу.

💡 Буюмда: колдоо кызматынын, BI же иштеп чыгуучунун "аймактан тышкаркы" маалыматтарына кайрылуусу прокси катмары аркылуу өтөт, ал: (a) PIIди тазалайт, (b) кирүү негизин колдойт, (c) артефакттарды логиндейт.

8) Аймактык Profiles (шаблон)

Ар бир рынок үчүн картаны колдоо:


Юрисдикция: ______
Требования к резидентности: (обязательная/рекомендуемая/нет)
Запреты на трансграничность: (полный/условный/нет)
Разрешенные механизмы передачи: (SCC/IDTA/локальное соглашение)
Особые категории: (биометрия/финансы/RG)
Бэкапы/DR: (где, частота, шифрование)
Логи/телеметрия: (можно ли выводить за рубеж, в каком виде)
Сроки хранения: (KYC, платежи, игровые, RG/SE)
Удаление/DSAR: (SLA, подтверждения)
Вендоры/облака: (разрешенные регионы)

9) Локализация backaps, логов, аналитика

Backaps: шифрленген, ошол эле аймакта, Жайгашкан далилдер каталогу (провайдер id/bakap-wolt/retence).
Логи/соода: PII-эркин демейки; PII сөзсүз болсо - жергиликтүү логин сактоо, редакторлоо/жашыруу менен.
Аналитика/DWH: гана псевдоним ачкычтар; k-атын атагысы келбеген агрегаттар; "чийки" окуяларды аймактан негизсиз түшүрүүгө тыюу салуу.

10) жөнөтүүчүлөр жана булуттар

Сатып алуучулардын реестри: каттоо өлкөсү, маалымат борборлорунун аймактары, сертификаттар (ISO/PCI/SOC), DPA/SCC/IDTA кол тамгалары, ачкыч режими, субпроцессорлор.
"Алдын ала учуу" жол-жобосу: юрисдикцияларды баалоо, DPIA/TIA, аймактын ичинде мүчүлүштүктөрдү сыноо, аймактын "data at rest" текшерүү.
Контракттык клаузалар: суб-процессордун/жайгашкан жердин өзгөргөндүгү жөнүндө билдирүү, аудит укугу, жоюу мөөнөттөрү, айыптар.

11) алып салуу, Retentia жана DSAR

Сактоо саясаты: KUS/каржы/оюн/Логи - өзүнчө мөөнөттөр (көбүнчө комплаенс үчүн 5-7 жыл; маркетинг - кыскача).
Техникалык мажбурлоо алып салуу (erasure): отчеттор менен каскаддык delete jobs; архивдер үчүн крипто алып салуу (ачкычтарды алып салуу).
DSAR/Subject Rights: региондук периметрде гана кирүү/оңдоо/алып салуу боюнча суроо-талаптарды иштеп чыгуу; жооп артефакттары - жергиликтүү WORM.

12) Контролдук жол-жоболор жана аудит

Data Lineage: талаалардын келип чыгышы, трансчегаралык агымдардын маршруту, экспорттун хэш-кол тамгасы.
Access Reviews: чейректик кирүү укуктарынын ревю, кросс-аймактык суроо-талаптар боюнча отчеттор.
тиштүү: ким/эмне/качан/кайда/негиз/маалымат түрү/PII-маска/натыйжасы.
Сатуучуларды текшерүү: жылдык отчеттор жана пентесттер/аттестациялар.
CAPA: табылгалар боюнча оңдоолор, мөөнөтү жана жоопкерчиликтүү.

13) Продукт жана API талаптар

Geo-router: resolvit 'player _ region' жана "үй" кластерге суроо жөнөтөт.

Policy-aware APIs: тег `data_class={PII	PCI	ANON}`, `region_scope={local	global_anon}`, `transfer_basis_id`.
Иш-чаралар:
'data _ residency _ asserted' (аймак тастыкталган),
`xborder_export_requested/approved/denied`,
`backup_completed_local`,
`dsar_fulfilled_local`.
Fail-Closed: белгисиз аймакта - PII менен операцияларга тыюу салуу.

14) "кайда сактоо керек" матрицасы (мисал)

Категория	Сактоо жайы	Чет өлкөгө көчүрүүгө болобу?	Шарттар
KYC документтер/биометрия	Жергиликтүү аймак	Жок	Гана агрегаттар/өкүмдөр "pass/fail" сыртка
Төлөм токендери	Аймак + PCI аймагы	Шарттуу түрдө	Токенизация, PCI-купинг, PSP менен келишим
Оюн окуялары (чийки)	Аймак	Шарттуу түрдө	Псевдоним → глобалдык DWH үчүн агрегаттар
RG/SE статусу	Аймак	Жок	Глобалдык системаларга "anonymized" желектерине гана уруксат берилет
CRM байланыштар	Аймак	Шарттуу түрдө	токтом жана DPA менен; suppression-желектер жергиликтүү
Логи/Трейдерлер	Аймак	Гана PII Free	жыйноочу боюнча PII Masking/алып салуу

15) KPI/дашборд комплаенс локализация

Residency Coverage: PII туура аймакта болгон субъекттердин%.
X-Border Request Rate: чек ара жеткиликтүүлүгүнө суроо-талаптардын үлүшү (ролдору/бөлүмдөрү боюнча).
Anonymized Export Share: De-PII өткөн дүйнөлүк DWH экспорттун үлүшү.
Backup Locality SLA:% жергиликтүү аймакта тастыкталган backaps.
Vendor Аймак Drift: орун өзгөртүү окуялар/субпроцессорлор.
DSAR SLA: медиа региондук периметри боюнча аткаруу.
Audit Findings (repeat): кайталанган карама-каршылыктар.

16) Чек-баракчалар

Жаңы юрисдикцияга киргенге чейин

Маалыматтар картасы жана категориялар боюнча классификация.
Юрисдикция карточкасы (талаптар, бекаптар, логилер, сактоо мөөнөттөрү).
Аймактын архитектуралык планы (VPC/кластер/BD/KMS).
DPIA/TIA, келишимдер (DPA/SCC/жергиликтүү аналогдор).
Vendor assessment (DC жайгашкан, субпроцессорлор).
Саясат топтому: кирүү/өчүрүү/экспорт.

Операцияларда

Жаңы жазуулар боюнча "residency assertions" күнүмдүк валидациясы.
Cross-аймактык суроо-талаптарды жана четтөөлөрдү мониторинг.
Backaps/журналдардын жайгашкан жерин текшерүү.
аймактагы DSAR-кезек.

Аудит/жакшыртуу

Сатуучулардын/региондордун чейректик ревизиясы.
Ар бир аймакта DR тест (1/чейрек).
CAPA бузуулар боюнча (мөөнөттөрү/жоопкерчиликтүү).

17) Үлгүлөр (тез киргизүү)

A) Клауза менен сатуучу (маалыматтарды локалдаштыруу)

💡 Жеткирүүчү {PII/RG/KYC} категорияларынын заказдык маалыматтарын гана {...} аймагында сактоого жана иштетүүгө кепилдик берет. Кандайдыр бир чек ара аркылуу өткөрүп берүүгө колдонуудагы укуктук механизмдер жана жазуу жүзүндө макулдашуу болгондо гана жол берилет. Жайгашкан жерин өзгөртүү - 30 күнгө ≥ билдирүү менен.

B) Экспорттук саясат (ички өтүнмө)

💡 Мен {...} мезгили үчүн агрегаттарды рынокко экспорттоону суранам. Берилиштер категориясы: {ANON}. Негиз: {отчет/аудит}. Тобокелдиктер бааланган, PII жок. Жооптуу: {...}. Чыгаруу мөөнөтү: {...}.

C) бизнес менен SLA текст

💡 DSAR жооп убактысы - X күнгө чейин, алып салуу - каскаддык, ырастоо - аймактык WORM-сактоо артефакт.

18) Тез-тез каталар жана алдын алуу

"Ыңгайлуу" кошуна аймакта Backaps. → Тыюу салуу; гана жергиликтүү backaps.
PII менен Логи дүйнөлүк APM учуп. → Агент денгээлде маскировка, жергиликтүү синки.
Чийки идентификаторлор менен глобалдык отчеттор. → Агрегаттар/псевдонимдер гана.
control/data planes аралаштыруу. → Global control plane - PII жок.
резиденттик далилдер жок. → Экспонаттарды сактоо: id-ресурстар, конфигурациялардын сүрөттөрү, провайдердин отчеттору.

19) 30 күндүк ишке ашыруу планы

1-жума

1. Локалдаштыруу саясатын жана маалыматтарды классификациялоо моделин бекитүү.
2. Учурдагы рыноктор боюнча агымдардын баштапкы картасын куруу.
3. Аймактык boundary-кызматтарды жана ачкычтарга талаптарды аныктоо (BYOK/HYOK).

Жума 2

4. Аймактык артыкчылыктуу кластерлерди жайылтуу № 1 (EU/UK/...); Geo-Router кирет.
5. DWH De-PII Conveyor күйгүзүү, жергиликтүү Логи/ARM орнотуу.
6. Кол коюу/негизги сатуучулар менен DPA/SCC/IDTA жаңыртуу.

Жума 3

7. PIIнин аймактык БДга миграциясы; жергиликтүү backaps жана DR планы.
8. Трансчегаралык экспортко арыздар процессин киргизүү (портал + журнал).
9. Жаңы эрежелер боюнча командаларды (Prod/BI/CS/Legal) үйрөтүү.

4-жума

10. DR тестин жана тандалма резиденттик аудитин жүргүзүү.
11. Дашборд KPI (Residency Coverage, Backup Locality SLA) кирет.
12. табылган айырмачылыктар боюнча CAPA; план v1. 1 (төмөнкү базарлар).

20) Өз ара байланышкан бөлүмдөр

KYC жол-жоболору жана текшерүү деңгээл/курактык текшерүү

AML саясаты жана транзакцияларды көзөмөлдөө

Жоопкерчиликтүү оюн жана лимиттер/SE/Reality Checks

Регулятивдик отчеттор жана маалымат форматтары

Дашборд комплаенс жана мониторинг

Ички/тышкы аудит жана аудитордук чек баракчалары

BCP/DRP жана "On Rest/In Transit шифрлөө"